学位论文 > 优秀研究生学位论文题录展示

Windows下Bootkit检测及防御技术研究

作 者: 高勇
导 师: 范明钰
学 校: 电子科技大学
专 业: 信息与通信工程
关键词: Bootkit Windows内核 检测 虚拟机内存 最近邻聚类
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 132次
引 用: 1次
阅 读: 论文下载
 

内容摘要


Bootkit可以说是现阶段最顽固的恶意代码,它是Rootkit技术的一种,虽然功能上并不异于Rootkit,但是Bootkit把自身的栖息地由传统的操作系统文件扩展到了硬件BIOS、MBR等位置,同时将自身的启动提前到了与Windows系统内核启动相同的级别,甚至还要更早的阶段,这样Bootkit就能较早的取得对计算机的控制权,从而实现更强的隐藏和控制功能,可以说Bootkit是高级的Rootkit。现阶段Bootkit技术还不是很成熟,正处于研发阶段,尚未造成严重的危害,但是现有的Bootkit样本已经展现出其强大的危害性。Windows操作系统广泛应用于我们的生活中,其未开源的特性,导致用户无法重新编译系统文件以增强安全性,加之系统漏洞百出,这势必使得其变成了Bootkit攻击的重要目标。因此研究Windows Bootkit检测及防御技术具有重大意义。本文以现有Windows Bootkit样本作为切入点,分析了其实现技术和原理,结合传统Windows Rootkit检测技术,本文从实时监控、多样性检测和自身保护三方面考虑设计并实现了一种检测防御Windows Bootkit的方法。该方法通过分析虚拟机内存捕捉当前线程,从而能够快速的监视虚拟机内程序运行,并利用改进的最近邻聚类算法检测内存是否存在Bootkit。若存在,对内存填充零以清除Bootkit。并且通过实验验证了本文中方法的高效性和可靠性。本文中检测方法采用聚类分析法解决了普通检测技术单一性的问题,能适应Windows Bootkit的多变复杂性,能比较全面的检测出各种现有的Windows Bootkit,具有通用性的一面;检测程序运行于宿主机对虚拟机内存进行分析,捕捉当前线程进而获得虚拟机内部程序运行的所有情况,达到实时监控的目的;因为检测程序和Bootkit运行在不同系统中,这样使得Bootkit无法对检测程序进行破坏攻击,并且避免了检测程序调用被Bootkit修改的系统函数造成检测结果错误的情况,很好的实现了自我保护的机制。

全文目录


相似论文

  1. 基于DSP的离焦信号同步采集与处理技术研究,TH741
  2. 慢光光纤陀螺信号检测电路设计,V241.5
  3. 光纤陀螺信号处理线路FPGA实现,V241.5
  4. 基于ARM9机车信号系统检测装置的设计与优化,U284.91
  5. 路面平整度检测系统中的数据采集和定位技术研究,U416.2
  6. 基于SVM的高速公路路面浅层病害的自动检测算法研究,U418.6
  7. 航天继电器时间参数测试分析技术的研究,TM58
  8. 基于主动方式的恶意代码检测技术研究,TP393.08
  9. 基于ARM的TFT-LCD面板检测设备软件的研究,TN873.93
  10. cPL双抗体夹心ELISA检测犬急性胰腺炎方法的建立与应用,S858.292
  11. 基于BMC的Web服务失配检测方法研究,TP311.52
  12. 车辆轮对动态检测装置,U270.7
  13. 基于FPGA高清视频车辆检测系统的设计与实现,TP391.41
  14. 人脸检测算法的FPGA设计与实现,TP391.41
  15. 基于ARM9与AD590的温度检测系统的研制,TH811
  16. 重要蔬菜种传检疫性病害检测技术研究,TS255.7
  17. 食品中对苯二酸、间苯二酸和双酚A类内分泌干扰物的检测方法研究,TS207.5
  18. 在役化工容器壁面检测机器人的机械本体研究,TP242
  19. 基于谓词抽象与精化技术的Web服务验证研究,TP311.52
  20. 基于机器学习的入侵检测系统研究,TP393.08
  21. 舌诊客观化中若干图像分析技术研究,TP391.41

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com